Как укрепить свой аккаунт
Что необходимо сделать, чтобы вашу учетную запись Google не украли
Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования.
Правда самый эффективный способ, который используется в самой Google, в отчет не включили. Пришлось мне самому написать об этом способе в конце.
Фишинговая атака — попытка обмануть пользователя таким образом, чтобы он добровольно передал злоумышленнику информацию, которая будет полезна в процессе взлома. Например, путем копирования интерфейса легального приложения.
Атаки с помощью автоматических ботов — массовые попытки взлома не направленные на конкретных пользователей. Обычно осуществляются с помощью общедоступного программного обеспечения и доступны для использования даже неподготовленным «взломщикам». Злоумышленники ничего не знают об особенностях конкретных пользователей — они просто запускают программу и «ловят» все плохо защищенные ученые записи вокруг.
Целевые атаки — взломы конкретных учетных записей, при которых о каждой учётке и её владельце собирается дополнительная информация, возможны попытки перехвата и анализа трафика, а также применение более сложных инструментов взлома.
Мы объединились с исследователями из New York University и University of California, чтобы выяснить, насколько эффективно базовая гигиена учетных записей предотвращает их «угоны».
Годовое исследование о широкомасштабных и целевых атаках было представлено в среду на собрании экспертов, политиков и пользователей под названием The Web Conference.
Наши исследования показывают, что простое добавление номера телефона в вашу учетную запись Google может блокировать до 100% атак от автоматических ботов, 99% массовых фишинговых атак и 66% целевых атак, имевших место в ходе нашего расследования.
Автоматическая проактивная защита Google от «угона» учётной записи
Мы реализуем автоматическую проактивную защиту, чтобы лучше обезопасить всех наших пользователей от взлома аккаунта. Вот как это работает: если мы обнаружим подозрительную попытку входа (например, из нового места или устройства), мы попросим дополнительные доказательства того, что это действительно вы. Этим подтверждением может быть контроль того, что у вас есть доступ к доверенному телефону, или ответ на вопрос, на который только вы знаете правильный ответ.
Если вы вошли в свой телефон или указали номер телефона в параметрах учетной записи, мы можем обеспечить такой же уровень защиты, как и с помощью двухэтапной проверки. Мы обнаружили, что код SMS, отправленный на номер телефона для восстановления, помог заблокировать 100% автоматических ботов, 96% массовых фишинговых атак и 76% целевых атак. А запросы на устройстве с требованием подтвердить операцию, являющиеся более безопасной заменой SMS, помогли предотвратить 100% автоматических ботов, 99% массовых фишинговых атак и 90% целевых атак.
Защита, основанная как на владении определенными устройствами, так и на знании определенных фактов, помогает противостоять автоматическим ботам, а защита, основанная на владении определенными устройствами — для предотвращения фишинга и даже целевых атак.
Если у вас в учетной записи не настроен номер телефона, мы можем прибегнуть к более слабым методам защиты, основанным на знаниях о вас, таким как место вашего последнего входа в учетную запись. Это хорошо работает против ботов, но уровень защиты от фишинга может упасть до 10%, а от целевых атак защита практическ отсутствуют. Это происходит потому, что фишинговые страницы и злоумышленники при целевых атаках могут заставить вас раскрыть любую дополнительную информацию, которую может запросить Google для проверки.
Учитывая преимущества подобной защиты, можно было бы спросить, почему мы не требуем использовать её для каждого входа в систему. Ответ заключается в том, что это создало бы дополнительные сложности для пользователей (особенно для неподготовленных — прим. перев.) и повысило бы риск блокировки учетной записи. В ходе эксперимента выяснилось, что 38% пользователей не имели доступа к своему телефону при входе в учетную запись. Еще 34% пользователей не смогли вспомнить свой дополнительный адрес электронной почты.
Если вы потеряли доступ к своему телефону или не можете выполнить вход, вы всегда можете вернуться к доверенному устройству, с которого вы ранее входили, чтобы получить доступ к своей учетной записи.
Разбираемся в атаках «взломать по найму»
Там, где большинство автоматических средств защиты блокируют большинство ботов и фишинговых атак, более пагубными становятся целевые атаки. В рамках наших постоянных усилий по мониторингу угроз взлома, мы постоянно выявляем новые криминальные группы «взлома по найму», которые просят за взлом одного аккаунта за в среднем 750 долларов США. Эти злоумышленники часто полагаются на фишинговые электронные письма, которые выдают себя за членов семьи, коллег, правительственных чиновников или даже за Google. Если цель не сдается при первой попытке фишинга, последующие атаки продолжаются более месяца.
Пример фишинг-атаки «человек посередине», которая проверяет правильность пароля в режиме реального времени. После этого на фишинговой странице предлагается жертвам ввести коды аутентификации SMS для доступа к учетной записи жертвы.
По нашим оценкам, только один из миллиона пользователей подвергается столь высокому риску. Злоумышленники не нацелены на случайных людей. Хотя исследования показывают, что наша автоматическая защита может помочь задержать и даже предотвратить до 66% целевых атак, которые мы изучали, мы по-прежнему рекомендуем, чтобы пользователи с высоким уровнем риска регистрировались в нашей программе дополнительной защиты. Как было замечено во время нашего расследования, пользователи, которые используют исключительно ключи безопасности (то есть — двухэтапную аутентификацию с помощью присылаемых пользователям кодов — прим. перев.), стали жертвами целевого фишинга.
Потратьте немного времени, чтобы защитить свой аккаунт
Вы используете ремни безопасности для защиты жизни и здоровья во время поездок на автомобиле. И с помощью наших пяти советов вы сможете обеспечить безопасность своего аккаунта.
Как показывают наши исследования, одна из самых простых вещей, которые вы можете сделать для защиты своей учетной записи Google — это задать номер телефона. Для пользователей с высоким уровнем риска, таких как журналисты, общественные активисты, лидеры бизнеса и команды политических кампаний, наша программа Advanced Protection поможет обеспечить высочайший уровень безопасности. Вы также можете защитить свои учетные записи сторонних сервисов (не Google) от взломов паролей, установив расширение Chrome Password Checkup.
Интересно, что Google не следует тем советам, которые сам же даёт своим пользователям. Google использует аппаратные токены для двухфакторной аутентификации более чем 85 000 своих сотрудников. По сообщениям представителей корпорации с момента начала использования аппаратных токенов не было зафиксировано ни одной кражи учетной записи. Сравните с цифрами, представленными в этом отчете. Таким образом видно, что использование аппаратных токенов для двухфакторной аутентификации единственный надежный способ защиты как учетных записей, так и информации (а в ряде случаев еще и денег).
Для защиты учетных записей Google используются токены, созданные по стандарту FIDO U2F, например такой. А для двухфакторной аутентификации в операционных системах Windows, Linux и MacOS используются криптографические токены.
Как обеспечить надежную защиту учетных записей
Веб-сервисы — наиболее привлекательные цели для киберпреступников, поскольку там хранится конфиденциальная информация, такая как банковские реквизиты и важные документы. Поэтому сначала мы покажем, как проверить, не стали ли вы уже жертвой хакерской атаки, и как защитить свою учетную запись на будущее.
Самыми опасными на сегодняшний день остаются атаки на почтовые аккаунты, поскольку оттуда злоумышленники сбрасывают пароли к веб-службам, используя функцию «Напомнить пароль». CHIP расскажет, как проверить, не стали ли вы уже жертвой хакерской атаки, и как защитить свою учетную запись на будущее.
Распознавание атак на учетные данные
Как узнать, не добрались ли преступники до ваших аккаунтов? На сайте haveibeenpwned.com вы можете проверить, не участвовали ли ваши логины и пароли в известных утечках данных. Введите свой адрес электронной почты. Если он всплывал в украденных базах данных, вы увидите список соответствующих аккаунтов. Следует исходить из того, что ваши учетные данные будут атакованы, если это уже не случилось, и тогда ваша информация быстро попадет в Даркнет.
На сайте haveibeenpwned.com можно быстро и просто выяснить, не участвовал ли ваш адрес электронной почты (1) или пароль (2) в известных утечках данных
Лучше всего обзавестись сложным паролем — разумеется, отдельным для каждой службы. На том же сайте Have-I-been-Pwned в разделе «Passwords» вы можете проверить, не был ли он уже вычислен, введя не свой, но аналогичный по сложности пароль. Как правило, веб-сервисы шифруют свои базы данных с паролями, однако хакеры с помощью метода полного перебора пытаются вскрыть такое кодирование и зачастую быстро преуспевают в этом: по словам журналиста Марка Бернетта (опубликовавшего в 2015 году в Сети базу с 10 млн логинов и паролей), 91% всех паролей интернет-пользователей можно встретить в списке 1000 самых распространенных паролей. Чем проще кодовое слово, тем быстрее хакеры добьются своего методом простого вычисления.
В меню опций большинства онлайн-служб можно проследить попытки входа в ваш аккаунт. В сервисах Google, к примеру, для этого нужно залогиниться под своей учетной записью и нажать на значок аккаунта в правом верхнем углу. Здесь выберите «Мой аккаунт» и в следующем окне — «Действия на устройствах и безопасность аккаунта». В разделе «Недавно использованные устройства» вы найдете перечень устройств с доступом к вашим учетным данным. При обнаружении подозрительного имени немедленно измените пароль. Проверьте также, не связан ли кто-то с вашим аккаунтом посредством токена. Этот маркер доступа позволит хакеру добраться до вашей учетной записи даже после смены пароля. В разделе «Защита доступа от хакеров» мы расскажем, как именно это происходит.
Еще одним симптомом взлома являются сигналы от знакомых, получивших запросы или подозрительные сообщения с вашего аккаунта в социальных сетях. Поэтому также необходимо проверять Facebook и тому подобные сервисы на подключенные устройства. Чтобы увидеть такой список в Facebook, зайдите в «Настройки» и нажмите на строчку «Безопасность и вход». Под заголовком «Откуда вы вошли» вы обнаружите все устройства с активным токеном, которым не требуется введение пароля.
5 советов: быстрая защита аккаунтов
> Проверка безопасности пароля к сервису: используйте сайт haveibeenpwned.com для того, чтобы узнать, не были ли ваши учетные данные похищены.
> Использование длинного пароля: используйте максимально длинные пароли до 20 символов. Можно обойтись и без спецсимволов.
> Корректировка секретных вопросов: в качестве ответа на секретный вопрос задайте короткую последовательность символов.
> Удаление токенов: сбросьте все маркеры доступа, чтобы ни один хакер не смог зайти в аккаунт без пароля.
> Выбор двухфакторной аутентификации: экстразащиту обеспечит двухфакторная аутентификация.
Защита доступа от хакеров
Существует множество способов защитить свой аккаунт. Первый и до сих пор самый важный — это пароль. Согласно мнению специалистов по IT-безопасности, не обязательно встраивать в него специальные символы, заглавные буквы и цифры — достаточно прописных. Но, пожалуйста, не менее 15–20.
Также нельзя использовать связанное предложение — лучше просто объедините случайные слова, к примеру «apartmentspoonlamp». Кроме того, для каждого сервиса необходимо использовать совершенно иной пароль, поскольку современные атаки методом «грубой силы» перебирают также варианты ставших известными паролей. То есть нельзя просто изменить два последних символа пароля, так как если при утечке данных с какого-либо сервиса будет взломан один код, злоумышленники при самом плохом сценарии развития событий способны вычислить и его варианты для других аккаунтов.
Чтобы не забивать себе голову таким множеством паролей, стоить установить специальный менеджер. Единственный код, который вам придется запомнить, это мастер-пароль к этому сейфу.
На следующем этапе речь пойдет о маркерах доступа к сервисам. Подобно куки, все устройства, на которых сохранен подобный ключ, получают доступ к аккаунту — даже после смены пароля. Все устройства и приложения, подключенные через токен к Gmail, вы увидите в меню «Действия на устройствах и безопасность аккаунта» в разделе «Приложения, у которых есть доступ к аккаунту». Зачастую, чтобы удалить маркер доступа, нужно зайти в настройки аккаунта и в разделе безопасности выбрать опцию «Сбросить автовход сейчас».
Осталось прикрыть от хакеров «заднюю дверь» восстановления паролей — секретный вопрос. Обычно он необходим для сброса пароля, если вы его забыли. Для того чтобы считаться легитимным пользователем, зачастую необходимо ответить на такие вопросы, как имя домашнего питомца или девичья фамилия матери. Эти сведения преступники получают быстро и с минимальными усилиями, например из социальных сетей. Еще один источник информации также может заинтересовать хакера: опубликованный в открытом доступе список желаний на сайте Amazon. Сведения из него могут сообщить, есть ли у вас домашнее животное и какими устройствами вы пользуетесь.
С учетом сказанного, в качестве ответа на секретный вопрос следует вводить отдельный короткий пароль. Он не обязан содержать специальные символы, однако ни в коем случае не должен представлять собой слово — только случайную комбинацию букв.
Убытки от киберпреступности
Мировой экономике в 2016 году нанесен ущерб $576 млн. В Европе цифры сопоставимые — около 50 млн евро
Применение двухфакторной аутентификации
Большинство провайдеров веб-сервисов уже осознали опасность защиты доступа одним только паролем. На помощь приходит метод 2FA (двухфакторной аутентификации). В этом случае при входе в сервис после ввода правильного пароля вы получаете дополнительный одноразовый код либо по SMS, либо через специальное приложение, бесплатно доступное в магазинах приложений Apple и Google.
Наша рекомендация для владельцев устройств на базе iOS: бесплатное приложение OTP Auth. Пользователи Android должны установить Authy, также доступное бесплатно в магазине Play Market.
Эти продукты можно использовать для любого провайдера, предлагающего 2FA. На первом этапе сервис генерирует ключ длиной 80 бит, который шифруется в QR-код. После сканирования камерой смартфона он попадает на устройство. Теперь сервер службы и смартфон независимо друг от друга рассчитают из этого 80-битного ключа и текущего времени одноразовый пароль.
Если оба варианта совпадают, сервис предоставляет доступ. Еще один совет: старайтесь использовать приложение вместо получения SMS. Сообщения легко перехватить, а вот приложения можно дополнительно защитить от взлома паролем или сканером отпечатка пальца.
Настройка двухфакторной аутентификации для большинства сервисов похожа. Мы поясним процесс конфигурации на примере служб Google. Для этого войдите в свой аккаунт Gmail и нажмите на иконку аккаунта в правом верхнем углу. Теперь перейдите в «Мой аккаунт» и в следующем окне в разделе «Безопасность и вход» нажмите на ссылку «Вход в аккаунт Google».
При нажатии на пункты «Двухэтапная аутентификация | Приступить» будет вызван Мастер конфигурации. Сначала Google настраивает SMS-токен, то есть двухфакторную защиту по SMS. Лишь на следующем этапе вы можете выбрать аутентификацию через приложение. Для этого в секции «Приложение Authenticator» щелкните по «Создать». В завершение по соображениям безопасности удалите сохраненный номер телефона. Для этого в меню «Двухэтапная аутентификация» кликните по карандашу рядом с надписью «Голосовое сообщение или SMS» и выберите «Удалить номер».
С этого момента аутентификация будет осуществляться исключительно через приложение. В этом же меню необходимо активировать функцию «Резервные коды». Если телефон не под рукой или же вы потеряли свое устройство, вы сможете зайти в свой аккаунт с помощью этих экстренных кодов. Восьмизначные шифры являются одноразовой заменой кода двухфакторной аутентификации. Не сохраняйте их, а запишите на листе, чтобы поместить дома в надежное место.
В случае с такими сервисами, как Google, крайне важно удобство пользователя, поэтому вам доступна возможность обозначить определенные устройства как надежные. При входе с такого устройства вам нужно ввести только имя пользователя и пароль, без одноразового кода.
Однако мы не рекомендуем обращаться к этой опции, поскольку злоумышленникам также легко обойти защиту, если освобожденное от двухэтапной аутентификации устройство будет заражено вирусом.
Фотографируйте QR-код не через обычное приложение «Камера», а напрямую из ПО для аутентификации. У всех предложенных нами продуктов есть функция считывания QR-кода, что избавит вас от ручного ввода адреса.
Используйте специальное аппаратное обеспечение для защиты пароля
Более надежной, чем двухфакторная аутентификация, является защита с помощью USB-токена U2F (Universal Second Factor) стоимостью от 700 рублей, к примеру Key-ID FIDO. И если в случае с атаками «человек посередине» существует теоретическая возможность считать пароль при использовании двухэтапной защиты, то защита U2F неуязвима.
Структура обеспечения безопасности выстроена совершенно иным образом: при первом подключении сервис, для которой требуется ключ, создает пару кодов (открытый/закрытый) и сохраняет закрытый ключ на USB-накопителе. В дальнейшем пользователю для входа в свой аккаунт придется всегда подключать этот USB-токен.
В ответ на это сервер отправляет клиенту последовательность битов для расшифровки такого кода. В свою очередь код шифруется клиентом с помощью закрытого ключа и пересылается на сервер, где информация расшифровывается с помощью открытого ключа. Доступ предоставляется лишь при полном совпадении кодов.
Плачевная ситуация с паролями
Согласно опросу, более половины респондентов пользуются одним и тем же паролем для доступа к различным службам
Для связи U2F-токена с необходимым сервисом следует зайти в соответствующие настройки аккаунта. Конфигурация аналогична активации двухфакторной аутентификации. В меню паролей вместо приложения задайте USB-токен. Как и при двухфакторной защите, придется отключить сохраненный SMS-токен, если таковой существует.
Службы, поддерживающие защиту 2FA и U2F
Крупные провайдеры предлагают использование одноразовых кодов (2FA). Зачастую встречается даже поддержка токенов (U2F)
Для сервисов, в которые вы заходите исключительно со стационарного компьютера, мы рекомендуем разрешить лишь доступ по U2F. При работе через устройство на базе iOS необходимо дополнительно оставить активной двухэтапную защиту, поскольку в данном случае аутентификация посредством USB-токена невозможна.
Пользователям Android доступны варианты: с помощью NFC-брелока от Yubikey (yubico.com, около 2500 руб.) вы сможете считать ключ с помощью NFC-модуля своего смартфона. При запросе второго аутентификатора просто приложите Yubikey к задней стороне аппарата — готово.
Если ваш телефон не сразу распознает брелок, попробуйте поменять его расположение на корпусе. В некоторых моделях смартфонов чип NFC сильно сдвинут выше или ниже, а дальность его приема крайне ограничена.
Защита вашего аккаунта Google с помощью двухфакторной аутентификации
В современном мире, даже сложные и уникальные перестают быть достаточной мерой защиты ваших аккаунтов в сети, потому что основной проблемой становится среда их передачи. И наиболее слабым звеном является сам пользователь.
Дето в том, что брут-форсом хакеры пароли к публичным сервисам уже давно не подбирают, потому что сами сервисы (почтовые, социальные сети) защищены от такого рода атак. Они блокируют множественные попытки подбора пароля.
Именно поэтому чаще всего выбирается другой вектор атаки — сам пользователь и его среда передачи данных. Проще всего выманить пароль у самого пользователя, перехватив его, когда он перейдет по фейковой ссылке. В этом процессе активно используются элементы социального инжиниринга. Например, создается фейковый (ставится фотография, скопированная с реального профиля) или взламывается оригинальный аккаунта человека, которому вы доверяете (например, ваших родителей) и от их имени рассылаются осмысленные предложения и фишинговые ссылки, нажав на которые, вы отправите свои данные злоумышленнику. При этом могут использоваться реальные данные людей, которые были похищены с какого-нибудь другого плохо защищенного сайта, такого как интернет-магазин. Обычно, простые интернет-магазины защищены хуже всего.
Другой вариант — взломать его почту тем или иным способом и получить оттуда ссылку или временный пароль, который сгенерирует сервис для восстановления пароля. Этим список вариантов, конечно, не ограничивается, но в этой статье речь не об этом.
Еще один вектор атаки — компьютер самого пользователя, на котором можно перехватывать и отправлять злоумышленнику вводимые пользователем данные. Для этого используются различные кейлоггеры, которые мониторят буфер ввода с клавиатуры, различные шпионские адд-ины для браузеров (панели, «хелперы»). Ту же цель преследуют и различные «улучшатели» популярных соцсетей — неофициальные приложения, которые подключаются к реальным серверам соцсети через API, однако предоставляют якобы расширенные возможности (такие как прослушивание музыки без ограничения). Они же могут и логировать и ваши пользовательские данные.
Четвертый тип атак — MITM («человек в середине»). Если вход выполняется по паролю, то можно представить следующий сценарий атаки:
- трафик пользователя перенаправляется на машину атакующего
- атакующий отслеживает попытки подключения к серверу/приложению и перенаправляет их на свой сервер
- сервер атакующего настроен, во-первых, вести журнал всех введённых данных, в том числе пароля пользователя, а, во-вторых, передавать команды на легитимный сервер, к которому хочет подключиться пользователь, для их выполнения, а затем возвращать результаты легитимному пользователю.
Для данной атаки в локальной сети перенаправить трафик можно двумя способами:
- ARP спуфинг. Во время этой атаки, компьютер атакующего рассылает ложные сообщения ARP пакета о том, что MAC адресом роутера является MAC адрес компьютера атакующего. В результате компьютеры в локальной сети начинают отправлять сетевые пакеты через компьютер атакующего. Это универсальный вариант, который подойдёт во всех случаях.
- DNS спуфинг. Суть в подмене ответов на DNS запросы, в результате компьютер жертвы будет получать неправильные IP адреса для запрашиваемых хостов. Этот вариант подходит только если подключение к удалённому серверу или сайту выполняется по имени хоста.
Для перехвата паролей пользователя в реальном времени на сайтах часто используется DNS спуфинг, когда пользователь заходит на фейковых сайт, который выглядит как оригинал и вводит там данные. Например, существовало несколько клонов сети Vkontakte, которые воровали пользовательские данные.
Не менее популярный, но не всегда работающий вариант — перехват cookie с сайтов, которые вы посетили и ввели данные из браузера пользователя. Сами cookie не содержат пары логин/пароль, но если сайт, их выдавший настроен неправильно, то украв файл cookie можно установить сессию с сервером, их выдавшим от имени пользователя и сбросить его пароль или поменять данные.
Про безопасность и параметры файлов cookie можно почитать здесь.
Современные сайты на базе популярных открытых CMS более-менее защищены и хранят пароли в виде хэша который даже в случае его утечки достаточно сложно и/или долго расшифровать (в зависимости от приименного алгоритма шифрования). Однако, кастомные или рукописные движки часто грешат низкой безопасностью и их взломать проще, в результате чего периодически случаются утечки данных пользователей, даже с крупных сайтов. Хорошо защищённые сайты не должны хранить пароль пользователя вообще.
Также, некоторые боятся использовать авторизацию на различных сервисах через аккаунты в соцсетях (Facebook, Vk, и т.д.). В целом, такой способ авторизации достаточно безопасен и его бояться не стоит. При таком способе авторизации на сайтах пароль не используется. Вместо этого между сторонним сайтом и аккаунтом в соцсетях настроено безопасное соединение по протоколу OAuth, которое использует ключи. Сайт доверяет публичному соцсервису и не проверяет пароль, но он спрашивает у сервиса, выполняющего аутентификацию, проверенный вы пользователь или нет. Сервис, выполняющий аутентификацию проверяя вас, выдает OAuth токен вам в браузерную сессию, который и возвращает токен авторизации сайту.При условии, что ваш компьютер и браузер не скомпрометированы, такая передача одноразового токена безопасна. Перехватить и использовать такой токен на другом компьютере практически невозможно, но единственное, что сам процесс аутентификации в соцсети может быть скомпрометированы через те же самые cookie (мало кто выходит из Facebook, и сессия постоянно поддерживается).
Как вы видите, пароль может быть похищен или аккаунт может быть скомпрометирован на различных стадиях. Но напомню, что цель статьи — не изучение способов атаки и похищения паролей, а защита от этого на примере Google аккаунта.
Почему надо защищать именно его? Многие хранят пароли, сохраняемые Google Chrome в Google аккаунте. И действительно, это удобно, но опасно, если не использовать дополнительную защиту. При таком использовании Google аккаунта обязательно требуется включить двухфакторную аутентификацию (2FA). 2FA практически на 100% делает процесс аутентификации безопасным (см. применения ниже). На данный момент его следует включать на всех сайтах, где это доступно.
- Зайдите в настройки Google аккаунта по ссылке https://myaccount.google.com/security
- В разделе «Вход в аккаунт Google» кликните на Двухэтапная аутентификация.
- Нажмите на кнопку Включить. Вы автоматически будете получать уведомления от Google на всех телефонах Android, где вы вошли в аккаунт Google.
- В разделе Уведомлений от Google вы увидите список устройств, на которых вы были авторизованы с Google аккаунтом. Удалите те, в которых вы сомневаетесь.
- Добавьте дополнительные варианты для второго этапа аутентификации. Я рекомендую использовать приложение Google Authenticator.
- Также, дополнительно добавьте номер телефона для SMS на случай, если телефон сломается, но у вас будет доступ к SIM карте.
Все устройства, где вы уже авторизованы с помощью Google аккаунта, автоматически доставляются в список устройств, куда будет приходить уведомление. Если вы уже авторизованы, то проходить двухфакторную аутентификацию не потребуется. Однако, если вы зайдете с нового устройства, то после того как вы введете пароль, на все телефоны, где вы уже вошли в аккаунт, будут отправлены уведомления от Google. Нажмите на одно из них, чтобы завершить вход или «Нет», чтобы заблокировать авторизацию.
Если вы не хотите получать уведомления на определенном телефоне, выйдите на нем из аккаунта. Увы, настроить, где получать уведомления, а где нет, не имеется. Если вы войдете в аккаунт Google на одном из поддерживаемых телефонов, уведомления от Google будут автоматически добавлены в качестве дополнительного способа двухэтапной аутентификации.
Если вам нужно войти в свой аккаунт на чужом телефоне, используйте режим инкогнито в браузере. Чтобы выйти из аккаунта, закройте все окна инкогнито, когда закончите пользоваться телефоном.
Также обязательно включите на смартфоне блокировку экрана, это защитит от ряда атак, когда ваш смартфон может стать управляемым. Блокировка телефона и ограничение доступа программ к уведомлениям позволяет защитить от троянов, которое могут читать экран.
Я не рекомендую использовать SMS, по причине все такой же атаки MITM. Во-первых, SMS можно перехватывать по дороге. Во-вторых, SMS можно обойти дублированием сим-карты. Наконец, если на телефоне имеется троян, то он сможет читать все SMS.
Самый удобный и безопасный способ двухфакторной аутентификации — OTP приложение (One-time Passcode), в данном случае поддерживается Google Authenticator для Android и iPhone. Настраивается оно максимально просто.
- Установите данное приложение на смартфоне.
- В разделе «Добавьте дополнительные варианты для второго этапа аутентификации» найдите пункт Приложение Authenticator и кликните Создать. Выберите тип смартфона.
- Откройте приложение Google Authenticator на смартфоне, нажмите в нем + и отсканируйте QR код с экрана.
- Введите 6-значный OTP код, сгенерированный приложением после добавления ключа.
Увы, сделать его дефолтным нельзя, но выбрать его как способ двухфакторной аутентификации можно всегда при логине. Плюс использования OTP приложения в том, что оно не требует наличия интернета, а завязано на часы. Именно поэтому важно, чтобы на телефоне было точное время, которое устанавливается автоматически из сети оператора.
Вернитесь в раздел Безопасность вашего Google аккаунта. Внизу страницы войдите в секцию «Ваши устройства». Тут вы можете посмотреть на устройства, на которых вы вошли в аккаунт, а также удалить ненадежные.
Помимо этого, в разделе безопасность задайте резервный адрес электронной почты и секретный вопрос. Важно, чтобы у резервного почтового ящика был другой пароль, чем у Google.
Если вы используете сохранение паролей в Google аккаунт, то важно, чтобы на компьютере, на который вы залогинились, был установлен пароль пользователя. В этом случае для прочтения или изменения паролей в браузере каждый раз будет спрашиваться еще и пароль аккаунта Windows. В отличие от Mozilla Firefox, мастер пароля для безопасного хранения паролей в Chrome нет — надо использовать системный.
Кроме этого вот рекомендации по настройке Chrome:
- Регулярно чистите кэш браузера, включая cookies.
- Проверяйте список установленных дополнений по разделе chrome://extensions/. Удаляйте подозрительные.
- Зайдите в раздел настройки безопасности chrome://settings/security и убедитесь, что там выбрана стандартная или расширенная защита.
- Начиная с версии 83 браузера вы можете включить «Use Secure DNS» (Использовать безопасный DNS-сервер). Эта очень полезная опция включает протокол DNS-over-HTTP, которая защитит от DNS-спуфинга и заодно разблокирует некоторые сайты. Выберите они из персонализированных DNS серверов: Google Public DNS (8.8.8.8), Cisco OpenDNS (208.67.222.222), Cloudflare (1.1.1.2), Quad9 (9.9.9.9).
- Проходите периодические проверки Google на предмет украденных паролей. Перейдите в браузере по ссылке chrome://settings/passwords. Там вы увидите новый пункт «Проверить пароли», открыв который вы сможете увидеть список небезопасных или ранее утекших в сеть паролей.
Ну и в заключение напомню также общие рекомендации по паролям:
Как защитить свои аккаунты в соцсетях? Девять способов (не только сложные пароли)
1. Привяжите номер телефона и правильную почту к аккаунтам
Если забудете пароль, то с помощью СМС или подтверждения через e-mail сможете восстановить доступ к странице. Проверьте адрес электронной почты, привязанной к странице, возможно, вы им давно не пользуетесь. Привяжите актуальный адрес.
Проверить контакты в Instagram: редактировать профиль — настройки личной информации. В Facebook: “Настройки” — “Общие” — “Контактная информация” — добавить дополнительный адрес электронной почты или номер мобильного телефона. Во “ВКонтакте”: “Настройки” — “Общее”.
2. Привяжите аккаунт Instagram к Facebook
Это поможет вам восстановить доступ к странице в Instagram, если вы забыли пароль и почту. В этом случае войти в аккаунт можно через Facebook.
3. Включите двухэтапную аутентификацию
Чтобы при входе в аккаунт вам приходил пароль на телефон. Каждый раз, когда кто-то попытается получить доступ к вашему аккаунту с неопознанного браузера или устройства, вам нужно будет подтверждать действие. В Instagram настроить ее можно по этой ссылке. В Facebook: “Настройки”— “Безопасность” — “Использовать двухфакторную аутентификацию”. Во “ВКонтакте”: “Настройки” — “Безопасность” — “Подтверждение входа”. Также двухэтапную аутентификацию можно настроить на любом почтовом сервисе.
4. Пройдите верификацию страницы и получите галочку
Верификация — это подтверждение того, что за вашим профилем или сообществом стоит реальный человек/организация. Вы наверняка видели аккаунты известных людей, отмеченные синей галочкой. Так сайт защищает популярных пользователей от страниц-клонов и злоумышленников, которые могут распространять фейковую информацию от их имени. Кроме того, подтвержденные аккаунты первыми выходят в поисковой выдаче.
Галочку могут получить публичные люди, организации. Известность, по идее, может быть не только массовой, но и локальной: если вы журналист с постоянной аудиторией в несколько тысяч человек — попробуйте подтвердить страницу.
Запросить верификацию страницы в Facebook можно здесь. В Instagram: “Настройки” — “Аккаунт” — “Запросить подтверждение”. Во “ВКонтакте”: “Настройки” — “Общее” — “Верификация”.
5. Выберите на Facebook от трех до пяти друзей, которые помогут
Ваши доверенные контакты смогут отправить вам код или URL из Facebook, чтобы помочь войти в случае потери доступа. Выбрать их можно через “Настройки” — “Безопасность и вход” — “Настройка дополнительной защиты”.
6. Поставьте очень сложный пароль
Это самый очевидный совет, которому мало кто следует. В прошлом году самыми популярными паролями у россиян были 123456 и qwerty.
Используйте уникальный пароль для каждого сайта, а не один для всех. Запомнить столько — трудно. Поэтому установите менеджер паролей — это специальное приложение, чтобы хранить их. Останется запомнить пароль только от него. Сложный пароль — это 12–16 символов (можно и больше): букв, цифр и специальных символов разного регистра. Есть несколько вариантов, как сделать надежный и запоминающийся пароль. Например, берите любое четверостишие и от каждого слова оставляйте только первую букву (без предлогов и союзов). Если буква похожа на цифру (“о” на 0, “з” за 3, “ч” на 4, “в” на 8) — меняем. Если с этого слова начинается строка — делайте букву заглавной. Набирайте все в английской раскладке. Запомнив шаблон, вы легко сможете его воспроизвести. Менять пароли эксперты советуют раз в три месяца.
7. Запретите доступ ненужным приложениям к вашему аккаунту
На каждом сайте в настройках есть ссылка на страницу “приложения/приложения и игры”, где содержится список сервисов, которым вы предоставили данные о своем аккаунте. Обычно сервисы получают адрес электронной почты. Если эти данные получат злоумышленники, то у них будет половина информации, нужной для входа в ваш аккаунт, останется подобрать пароли. Есть приложения, написанные специально для соцсетей, к примеру, те, что считают ваших гостей в Instagram. Они замечены в том, что часто крадут данные. Удалив ненужные сервисы, вы снизите риск угона аккаунта.
В Instagram удалить их можно здесь: “Настройки” — “Безопасность” — “Приложения и сайты”. В Facebook: “Приложения и сайты”. Во “ВКонтакте”: “Настройки” — “Настройки приложений”.
8. Проверьте, угоняли ли вашу почту
Есть много сервисов, которые позволяют проверить, получали ли посторонние доступ к вашей почте. Если с вашего аккаунта рассылали спам, вы могли этого не заметить или не соотнести это с какими-либо изменениями. Это один из самых известных сервисов — он показывает, что, например, мою старую личную почту угоняли дважды. Я точно знаю про один раз, так как видела, как один из собеседников ответил на письмо (с просьбой о финансовой помощи), которое я не отправляла. После этого обычные письма от меня попадали в спам.
9. Следите, чтобы ваши аккаунты не были доступны с чужих устройств
Самое простое — вы воспользовались чужим смартфоном/компьютером, на устройстве автоматически сохранились ваши пароли. В аккаунте Google в настройках безопасности можно проверить, с каких гаджетов вы выполняли вход. И в случае чего сразу удалить доступ. Если вы потеряли устройство, можно заблокировать его или удалить с него все данные. На Android-устройствах это выполняется через android.com/find, на iOS — через icloud.com/find.
Анастасия Степанова
Как защитить от кражи ваши аккаунты на сайтах и в сервисах
Все активные пользователи сети имеют десятки важных и нужных учетных записей на разных сайтах.
Большинство из них защищены банальным паролем, который при этом совпадает с кодом доступа от ряда других ресурсов.
Если у вас один пароль на все учётки без дополнительной защиты, самое время исправить это и защитить личную информацию.
Как обезопасить любую учётку
Во-первых, проверьте пароль на повторения. Такая довольно полезная фишка появилась еще в iOS 12.
Перейдите по пути Настройки – Пароли и учетные записи – Пароли сайтов и программ. Авторизуйтесь при помощи Face ID или Touch ID и введите название сайта в окне поиска.
Если пароль будет неоригинальным (повторяться с другими сайтами и сервисами), iPhone подскажет это.
Во-вторых, настройте скрытие текста сообщений, чтобы их не смогли прочитать без разблокировки смартфона.
Перейдите в меню Настройки – Уведомления – Показ миниатюр и измените параметр на Если разблокировано или Никогда.
Если смартфон окажется в чужих руках, то злоумышленники не смогут получить приходящий по СМС или в уведомлении пароль для авторизации.
Эта опция доступна по пути Настройки – Сотовые данные – SIM-PIN. Простой четырехзначный пароль не позволит мошенникам использовать сим-карту в другом телефоне для получения одноразового пароля по СМС.
Эти три простых шага позволят минимизировать риск потери доступа к своим учётным записям на сайтах и сервисах с двухфакторной аутентификацией.
Как еще усилить защиту
Следующим шагом по усилению защиты будет переход на двухфакторную аутентификацию по коду.
Получать пароль для авторизации на сайте лучше не по СМС, а из специальных 2FA-приложений (two-factor authentication). Так вы не будите зависеть от оператора связи и уровня сигнала, а еще код не получится узнать путем клонирования вашей СИМ-карты.
Такие приложения аутентификаторы привязываются к сервису или сайту и в дальнейшем генерируют код для авторизации. Алгоритм создания пароля, чаще всего, основывается на текущем времени.
Каждые 30 секунд программа генерирует код, который состоит из части ключа сервиса и точного текущего времени. Приложению не нужен доступ к сети или дополнительные данные для генерации кода.
Большая часть сайтов и сервисов не ограничивает пользователей в используемом 2FA-приложении, однако, некоторые разработчики вынуждают использовать только свои программы аутентификаторы.
Подобным способом можно защитить учетные записи Gmail, Dropbox, PayPal, Facebook, Twitter, Instagram, Twitch, Slack, Microsoft, Evernote, GitHub, Snapchat и многих других сайтов/сервисов/приложений.
Какие приложения можно использовать для двухфакторной аутентификации
Если нужные вам сервисы работают с любыми 2FA-приложениями, на выбор доступны следующие альтернативы:
1. Google Authenticator
Одно из самых популярных приложений для двухфакторной аутентификации от компании Google кажется слишком простым и недоделанным.
В основном окне программы можно добавить токен для авторизации на новом сайте или удалить один из существующих. У программы нет абсолютно никаких настроек и параметров.
В приложении нет дополнительной авторизации при запуске по паролю, Face ID или Touch ID. Однако, больше всего расстраивает отсутствие средств для резервного копирования.
В случае смены гаджета придется заново переподключать все сайты к программе.
2. Microsoft Authenticator
Приложение от Microsoft сильно похоже на предыдущую программу, но здесь разработчики немного постарались. Пользователю можно скрыть любые добавленные токены, чтобы они не были видны сразу при запуске приложения.
Кроме этого при авторизации на сайтах и сервисах Microsoft можно не вводить генерируемый код, а просто нажать на кнопку подтверждения прямо в программе.
Из других приятных фишек – бекап данных в iCloud и блокировка приложения по паролю или отпечатку.
3. FreeOTP Authenticator
Компания Red Hat, которая занимается выпуском ПО на основе операционной системы Linux, разработала свое приложение для двухфакторной аутентификации.
Программа не имеет дополнительной защиты, но зато предлагает пользователю расширенные параметры создаваемого токена. Самые отъявленные параноики могут вручную выбрать алгоритм шифрования, тип защиты и длину генерируемого кода.
Еще приложение FreeOTP имеет открытый исходный код, который изучается энтузиастами на предмет уязвимостей и ошибок.
4. Яндекс.Ключ
Разработчики из Яндекс используют отличную от других подобных сервисов схему шифрования, которая подробно описана здесь. К сожалению, собственные сервисы компании работают лишь с фирменным приложением Яндекс.
Программу можно защитить паролем или сканером Touch ID.
К минусам приложения можно отнести тот факт, что программу не обновляли несколько лет, а еще разработчикам не рассказали о выходе iPhone X с новым соотношением сторон экрана.
5. Authy
Одно из самых мощных и функциональных решений в данной нише. Для начала использования сервиса потребуется регистрация по номеру телефона, что для многих может стать недостатком.
В остальном – одни плюсы и преимущества: есть облачная синхронизация токенов, возможность удаленного отключения от учетной записи потерянного или проданного гаджета, блокировка приложения паролем или по биометрии.
Хранящиеся в облаке бекапы зашифрованы и защищены паролем, который нужно помнить для развертывания базы на другом девайсе.
Клиенты Authy есть не только для iOS или Android. На сайте разработчиков доступны программы под macOS, Windows и Linux, а еще есть расширение для браузера Chrome.
Сам уже несколько лет пользуюсь сервисом и рекомендую именно его.
Это лишь самые популярные приложения аутентификаторы. В App Store можно найти еще несколько десятков подобных программ от менее известных разработчиков. В основном они отличаются дизайном и имеют схожий функционал.
Как настроить двухфакторную аутентификацию
Рассмотрим процедуру включения защиты на примере учетной записи Gmail.
1. Выберите подходящее приложение аутентификатор и установите его на смартфон или компьютер.
2. Включите двухфакторную аутентификацию в своей учетной записи Gmail.
3. В настройках двухэтапной аутентификации укажите способ авторизации через приложение.
4. Отсканируйте предоставленный QR-код через приложение и сохраните токен для входа.
5. Подтвердите привязку аккаунта путем ввода пароля из приложения.
Теперь для авторизации в своей учетной записи на новом устройстве или на старом после разлогинивания кроме пароля потребуется ввести код из приложения аутентификатора.
Так ваши данные будут максимально защищены в случае кражи или утери смартфона, либо, если злоумышленники узнают пароль.
Как защитить аккаунт Google и Яндекс
В прошлой статье я рассказывал интересную историю о попытке восстановить взломанный аккаунт Google. Политика конфиденциальности у корпорации слишком жесткая, а значит для восстановления аккаунта придётся попотеть. Чтобы в будущем у вас не возникало проблем со взломами ваших почтовых ящиков любого поисковика или сервиса я расскажу, как защитить аккаунт Google или Яндекса.
Сейчас множество популярных сервисов, подвергаются всевозможным атакам со стороны хакеров. Вы думаете, что взломать почтовый ящик в Google не реально, ведь в аккаунте используется самая лучшая защита? Да, там есть такая защита, правда не все ей пользуются, защитить аккаунт подобным методом можно на большинстве известных сервисов. Так что это за метод такой?
Как защитить аккаунт Gmail
Я столкнулся с проблемой взлома Гугл аккаунта, и потратил много времени на восстановление, после этого в настройках сразу же включил двухэтапную аутентификацию, которая имеет несколько нюансов.
Допустим вы пользуетесь почтой Google или Яндекс, но захотели повысить безопасность аккаунтов. Зайдите, к примеру, на Gmail. Там вы увидите свои письма и прочие параметры.
Нажмите на значок шестерёнки справа и зайдите в «Настройки».
Сразу же перед глазами вы увидите много вкладок, из которых нам нужно рассмотреть только несколько.
Даже если вы восстановили свой аккаунт после взлома, есть вероятность, что хакер сделал вещи, помогающие ему получать письма, даже не используя пароля. Это различные переадресации и перенаправления.
Перейдите на вкладку «Аккаунты и Импорт». Убедитесь, что в поле «Отправлять письма как» нет прочих адресов, кроме вашего. Дальше нажмите на пункт «Изменить параметры восстановления пароля». Вас перекинет на другую страницу.
Там проверяем наличие резервного адреса электронной почты, имена и прочее. Всё это должно быть только ваше.
Теперь о двухэтапной идентификации.
Как включить двухэтапную аутентификацию
Вы должны находится в данный момент в своем аккаунте Google в параметрах «Безопасность и вход». Там, где мы только что смотрели резервный адреса почты и прочие данные. Найдите там опцию «Двухэтапная аутентификация» и перейдите туда.
Вам предложат ввести пароль, что вы и должны сделать.
Вы можете настроить защиту двумя способами – чтобы вам на телефон приходил код, который вы будете каждый раз при входе вводить, либо способ с отображение сообщения на экране смартфона с фразами «Да» и «Нет». При входе в аккаунт Google на смартфоне вы увидите сообщение «Пытаетесь войти в аккаунт на другом компьютере?». Если это вы, то жмём ДА.
Как видно на скриншоте я захожу в аккаунт при помощи телефона, без него я войти не смогу.
Дальше необходимо иметь один или два идентифицированных номера телефона. Всё в том же окне вы можете любой добавить.
Наконец для более эффективной защиты (на случай взлома) необходимо скачать и надёжно сохранить резервные коды. Их 25 штук и каждый используется только один раз.
В качестве следующего этапа в осуществлении защиты аккаунта можно скачать приложение Authenticator, который будет генерировать для вас различные коды, а вы будете их вводить для входа в аккаунт. Данные коды генерируются даже без использования Интернет-соединения.
Если у вас есть специальный ключ – Токен, вставляемый в USB-порт, то вы можете для входа в аккаунт использовать его.
Если вы заподозрили, что в ваш аккаунт кто-то всё же зашел, вы можете тут же нажать кнопку «Удалить» из раздела «Надёжные устройства», а потом быстро сменить пароль.
Из раздела «Безопасность и вход» вы можете зайти в подраздел «Проверка безопасности» и мониторить там все совершаемые вами действия. Для этого нажимаем кнопку «Приступить».
Там вы увидите параметры, относящиеся к номеру телефону и резервному адресу электронной почты. Если всё нормально, нажимаем Готово.
Дальше смотрим на совершенные вами (или не вами) действия в аккаунте, например, изменен резервный адрес, измен пароль, изменено имя и прочие сообщения. Там указывается город и страна, а также время, когда это действие было сделано. Если ничего подозрительно нет, то нажимаем кнопку «Всё в порядке».
В следующем окошке вы увидите устройства, с которых осуществлялся вход. Это компьютеры с какой-то ОС, смартфоны и планшеты. Также видно устройство, которое используется сейчас.
Меняем настройки Gmail
Снова возвращаемся на почтовый ящик и переходим на вкладку «Фильтры и заблокированные адреса». В данном разделе не должно быть не одного постороннего фильтра. Если что-то есть, срочно удаляем. Как правило, злоумышленник может настроить переадресацию писем на свой ящик, поэтому нельзя этого допускать и после восстановления аккаунта проверить все настройки.
Обязательно проверяем вкладку «Пересылка и POP/IMAP». Здесь всё должно быть выключено. То есть отключаем POP и IMAP. После этого сохраняем изменения.
Конечно, хакер мог поработать не только с почтой, но и на вашем канале YouTube (если есть), на Google диске, Google+ и прочих сервисов. Все их нужно проверять и в случае чего отключать общий доступ.
Как защитить аккаунт Яндекс
Зайдите на свой почтовый ящик Yandex и нажмите на значок шестерёнки справа. После этого перейдите в раздел «Безопасность».
Там нам говорят, что необходимо создавать сложный и длинный пароль. Это вы и так должны были знать. Ниже есть опция «Подтверждение номера телефона», нажмите на неё.
Там должен быть указан ваш подтвержденный номер телефона.
Возвращаемся в раздел безопасности и смотрим другую опцию – «Журнал учета посещений». Очень интересная вещь, где нам показывают кто, вошел на почту и когда, во сколько было прочитано одно сообщение и прочее.
В остальном ничего указывать больше и не надо. К счастью, если ваш ящик вдруг взломали, то восстановить его можно посредством ввода кода, который придет на ваш номер. И не будет никаких танцев с бубном, как у Google.
Дополнительные сведения по защите аккаунтов
- Часто проверяйте компьютер на вирусы с помощью различных средств.
- Не скачивайте вредоносные программы с сомнительных источников.
- Избегайте непопулярных расширений и плагинов для браузеров.
- Если скачиваете какую-то программу, которая использует интернет, прочитайте о ней отзывы, а также проверьте антивирусом.
- Используйте только известные браузеры, типа Google Chrome, Opera, Firefox или Edge. О такого ПО, как Amigo, лучше воздержаться.
- В почтовых аккаунтах и других сервисов старайтесь использовать двухэтапную аутентификацию.
Ну на этом вроде бы всё, теперь вы можете не париться насчёт безопасности аккаунта Google или Яндекса. Тоже самое относится и к прочим сервисам. Например, в социальных сетях тоже можно активировать двухэтапную аутентификацию, поэтому этим лучше не пренебрегать, если вам ценны ваши личные данные.